คลังความรู้สู่นักทดสอบเจาะระบบ
Free Knowledge-Sharing Initiative
บทความนี้ไม่ได้มีจุดประสงค์เพื่อชี้นำให้บุคคลใดก็ตามนำความรู้ไปใช้ในทางที่ผิดกฏหมาย แต่บทความนี้ถูกเขียนขึ้นเพื่อพาทุกท่านไปรู้จักในโลกของ Cross-Origin Resource Sharing (CORS) และช่องโหว่ที่เกิดขึ้นเมื่อมีการ implement ที่ไม่ปลอดภัย
ในการเก็บรวบรวมข้อมูล สำหรับการตรวจสอบ Web application คือ Directory หรือ File ที่อาจซ่อนสู่ นำไปสู่การทดสอบขั้นต่อไปนั้น เราก็มีเครื่องมือหลากหลาย หนึ่งในนั้นคือ Gobuster บทความนี้กล่าวถึงการติดตั้งและทดสอบการใช้งานแบบง่าย ๆ ดังต่อไปนี้
ขั้นตอนเพื่อทดสอบหาช่องโหว่ ของ VPN web portal ของ Fortinet โดยใช้ช่องโหว่ Path traversal เพื่อดึง username และ password ของ หน้า login VPN ออกมา เพื่อดาวน์โหลด FotiClient console และจากการทดสอบสามารถใช้ username และ password ดังกล่าว login เพื่อ remote access
Nagios ถือเป็น open-source tools ที่ใช้ในการmonitoring / tracking พวก resource / performance ต่างๆ สำหรับ Infrastructure โดยปัจจุบัน Nagios ได้เป็นที่นิยมมากขึ้นในหมู่กลุ่มผู้ดูแลระบบ (System Administrator) และผู้ดูแลเครือข่าย (Network Administrator) เนื่องจาก tool ตัวนี้นั้นสามารถปรับแต่ง (customize) ได้หลากหลาย ทำให้มีประโยชน์ในการใช้งานมากกว่า tool อื่นๆในกลุ่มเดียวกัน
ในบทความนี้จะกล่าวถึงวิธีการสร้าง Wordlist จาก website ที่เรากำลังสนใจ เพื่อนำมาใช้ในการ เดา username และ password (โดยโปรแกรมอัตโนมัติ) ต่อ ๆ ไป ดังต่อไปนี้